ア 最初のデータ保護指令提案5
当時の欧州共同体(European Communities, EC)理事会(Council)は、1990年7月27日に、①
「個人データ取扱いに係る個人の保護に関する理事会指令提案」(Proposal for a Council Directive concerning the protection of individuals in relation to the processing of personal data)及び②「公 衆デジタル通信網特にISDN及び公衆デジタル移動体通信網における個人データ及びプライバシー保護
5 EUデータ保護指令については、1990 年7月27日に公表された直後から論じ始めた。とりあえず、堀部政男「情報化とプライバシー」、
ジュリスト1000 号(1992年5月1日-15日号)(新世紀の日本法:GLOBAL 時代の針路)参照。
に関する理事会指令提案」(Proposal for a Council Directive concerning the protection of personal data and privacy in the context of public digital telecommunications networks, in particular the integrated services digital networks (ISDN) and public digital mobile networks)を採択した。
この段階で、①のデータ保護指令提案は、日本のようにEC構成国(当時)でない第三国への個人デー タの移転についても規定していた(第24条)。その第1項は、次のようになっていた。
「構成国は、取扱い過程にある個人データ又は取扱いを目的として収集された個人データの第三 国への移転は一時的又は恒久的であるかを問わずその国が十分なレベルの保護(adequate level of protection)を確保している場合に限って行うことができるということをその法に規定しなければなら ない。」
また、その第3項は「委員会は、構成国によって提供された情報に基づき又はその他の情報に基づき 第三国が十分なレベルの保護をしていないと認定し、また、その結果として生ずる状況が委員会又は 構成国の利益を害するおそれがあると認定する場合には、その状況を矯正する目的で交渉に入ること ができる」と日本を含む第三国と交渉することがあり得ることを明らかにしていた。
ここに出てくる指令(Directive) というのは、当時においては、EEC条約において、「達成すべき結 果について、これを受領するすべての構成国を拘束するが、方式及び手段については構成国の機関の 権限に任せる」(同条約第189条)ものである(これに対し、最も拘束力の強い規則 (Regulation)は、
「一般的な効力を有し、そのすべての要素について義務的であり、すべての構成国において直接適用す ることができる」というものである)。換言すれば、指令は、規則のように直接適用するものではない が、構成国を拘束することに注意する必要がある。こうすることによって、構成国間において個人デー タ保護法の調和・統一を図ろうとする方向が出てきている。
イ 改正提案と採択
この最初のデータ保護指令提案をめぐって各方面で多彩な議論が展開された。それらの議論を踏ま えて、EC委員会は、1992年10月15日、「個人データ取扱いに係る個人の保護及び当該データの自由 な移動に関する理事会指令の改正提案」(Amended proposal for a Council Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data)を明らかにした。
最初の提案の第24条は、改正提案では第26条となり、ただし書が追加された。それは、次に掲げる 場合には、十分な保護を講じていない第三国に対しても移転を行うことができるとするものである。
―……データ主体が契約締結に先立って手段を講じるために提案された移転に同意した場合
―データ主体が十分な保護を講じていない第三国にデータを移転することが提案され又は 提案されることがあり得るという事実について情報を与えられていることを条件として、
その移転がデータ主体と管理者との間の契約の履行のために必要である場合
―移転が重要な公益上の理由で必要な場合
―移転がデータ主体のきわめて重大な利益を保護するために必要である場合
64
ちなみに、1991年12月にオランダのマーストリヒトで開催された理事会で「欧州連合条約」(Treaty on European Union)(一般に「マーストリヒト条約」と呼ばれている。)の締結について合意され、
1992 年 2 月にこの条約が調印された。マーストリヒト条約は、1993 年 11 月 1 日に発効し、欧州連合
(European Union, EU)が発足した。
その後、欧州議会及び理事会は、1995 年 2 月 20 日に「個人データ取扱いに係る個人の保護及び当 該データの自由な移動に関する・・・欧州議会及び理事会の・・・指令を採択するために1995年2月 20日に理事会によって採択された・・・共通の立場」(Common Position...adopted by the Council on 20 February 1995 with a view to adopting Directive...of the European Parliament and of the Council of...on the protection of individuals with regard to the processing of personal data and on the free movement of such data)を明らかにした。
これは、「個人データ取扱いに係る個人の保護及び当該データの自由な移動に関する1995年10月24 日の欧州議会及び理事会の 95 / 46 / EC 指令」(Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data)として採択された6。これが EUデータ保護指令(EU Data Protection Directive)、指令95/46/EC(Directive 95/46/EC)などと 略称されているものである。
このEUデータ保護指令は、3年後の1998年10月24日に発効した。
また、前掲の②の「公衆デジタル通信網特にISDN及び公衆デジタル移動体通信網における個人デー タ及びプライバシー保護に関する理事会指令提案」は、これまでに見てきたデータ保護指令よりもかな り遅れて、1997年12月15日に「電気通信分野における個人情報取扱い及びプライバシー保護に関す る1997年12月15日の欧州議会及び理事会の指令97/66/EC」(Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector)として採択された。この1997年 の電気通信分野の指令は、2002年7月12日に「電子通信分野における個人情報取扱い及びプライバシー 保護に関する2002年7月12日の欧州議会及び理事会の指令2002/58/EC(プライバシー及び電気通信 に関する指令)」(Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications)によって全面的に 修正された。
6 EUデータ保護指令については、
http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46̲part1̲en.pdf
で閲覧できる。この邦訳については、堀部政男研究室仮訳「EUデータ保護指令」参照。本報告書の資料として掲載する。また、例えば、
堀部政男「EU個人情報保護指令と日本」、『変革期のメディア』(ジュリスト増刊号(1997年6月))358頁以下、同「EU(欧州連合)
個人情報保護指令の経緯とその仮訳」、新聞研究1999年9月号17頁参照。
ウ EUデータ保護指令前文の第三国移転言及
EUデータ保護指令の全体的構成など明らかにしなければならない課題は多いが、ここでは、第三国 への個人データの移転について見るので、その点に限定して検討するにとどめることにする。
EUデータ保護指令は、本文34ヶ条の前にリサイタル(recitals)という72の条項がある。前文とい えるものであるが、そのうち、個人データの第三国移転については、第56項から第60項までの5項に わたって、この直ぐ後で検討する本文第25条及び第26条の導入部ともいうべき説明がなされている。
最初の第56項及び第57項は、次のようになっている(「…ので」という表現になっているが、これは この種の文書の書出しのwhereas の訳である)。
「 (56)個人データの越境流通は国際取引の拡大にとって必要であるので;本指令によって欧州連合 で保障されている個人の保護は十分なレベルの保護を確保している第三国への個人データの移転の妨 げとはならないので;第三国によって提供される保護レベルの十分性は移転活動又は一連の移転活動 を取り巻くすべての状況に照らして評価されなければならないので;
(57)他方、十分なレベルの保護を確保していない第三国への個人データの移転は禁止されなければな らないので;」
エ 第三国への個人データの移転―第25条7
第三国へのデータの移転については、「諸原則」(Principles)に関する第25条で最初のデータ保護 指令提案の第24条の「諸原則」とは少し異なる規定が設けられている(「共通の立場」の段階で修正)。
その第1項は、次のようになった。
「構成国は、取扱い過程にある個人データ又は移転後取り扱うことを目的とする個人データの第三国 への移転は、この指令の他の規定に従って採択されたその国の規定の遵守を損なうことなく、当該第 三国が十分なレベルの保護(adequate level of protection)を確保している場合に限って行うことが できるということを規定しなければならない。」
この十分性の評価がどのようになされるかについては、第25条第2項に規定されている。
その第25条第2項は、次のようになっている。
「第三国によって保障される保護レベルの十分性は、一つのデータ移転の運用又は一連のデータ移転 の運用に関するあらゆる状況にかんがみ評価されなければならない。特に、データの性格、予定され ている取扱いの運用の目的及び期間、発出国及び最終目的国、当該第三国において有効である一般的 及び分野別の法規範(the rules of law, both general and sectoral, in force in the third country in question)、並びに当該国において遵守されている専門的規範(professional rules)及び安全保護対策 措置(security measures)が考慮されなければならない。」
7 消費者庁、前掲注1参照。また、堀部政男「プライバシー・個人情報保護の国際的整合性」、
同編著『プライバシー・個人情報保護の新課題』(商事法務、2010年)29頁以下参照。